内部审核管理程序-v1.0.doc

1 8 内部审核管理程序内部审核管理程序 批准人签字批准人签字审核人签字审核人签字制订人签字制订人签字 保密等级保密等级秘密秘密 文档名称文档名称内部审核管理程序内部审核管理程序 文档编号文档编号 发布组织发布组织信息安全信息安全管理管理委员会委员会 发布日期发布日期 执行日期执行日期 版版 本本 号号 1 01 0 2 8 变更履历变更履历 序序 号号 版本编号版本编号 或更改记或更改记 录编号录编号 变化变化 状态状态 简要说明简要说明 变更内变更内 容 变更位置 变容 变更位置 变 更原因和变更范围更原因和变更范围 变更日期变更日期变更人变更人审核人审核人批准人批准人批准日期批准日期 变化状态 C 创建 A 增加 M 修改 D 删除 3 8 目目 录录 1 1目的和范围目的和范围 4 2 2术语和定义术语和定义 4 3 3引用文件引用文件 4 4 4职责和权限职责和权限 4 5 5活动描述活动描述 4 5 1内部审核流程 4 5 2内部审核策划 5 5 3内部审核准备 6 5 4内部审核实施 6 5 5公司内审报告 7 5 6纠正不符合项 7 5 7跟踪和验证 7 5 8审核记录归档 7 6 6实施策略实施策略 8 7 7相关记录相关记录 8 4 8 1 1目的目的和范围和范围 按策划的时间进行信息安全管理体系的内部审核 以验证管理活动和有关结果是否符合 信息安全管理体系标准及公司信息安全管理体系文件的要求 是否符合相关法律法规要求 客户和相关方的要求 确保信息安全管理体系与标准的符合性 适宜性和有效性 本程序适用于公司信息安全管理体系内部审核 2 2术语和定义术语和定义 ISO IEC 27001 2005 信息技术 安全技术 信息安全管理体系要求 和 ISO IEC 17799 2005 信息技术 安全技术 信息安全管理实施细则 规定的术语适用于本标准 3 3引用文件引用文件 ISO IEC 27001 2005 信息安全手册 4 4职责职责和权限和权限 管理者代表负责组织内部审核活动 牵头成立内审小组 内审小组负责内部审核的执行和不符合的跟踪与验证 各职能部门配合内部审核工作的进行 内审小组负责内部审核工作的实施及审核资料的管理 5 5活动描述活动描述 5 15 1内部审核流程内部审核流程 内部审核可分为 7 个基本步骤 内部审核流程的一般流程如下图所示 3 内部审核实施 1 内部审核策划 4 内部审核总结 5 纠正不符合项 6 结果验证 7 审核记录归档 2 内部审核准备 开 始 结 束 5 8 5 25 2内部审核策划内部审核策划 5 2 15 2 1内部审核周期及范围内部审核周期及范围 在正常情况下公司信息安全管理体系内部审核至少每年组织 1 次 两次时间间隔不得超过 12 个月 出现下列情况时可由管理者代表决定是否增加信息安全管理体系的内部审核次 数 1 组织结构和职能分工出现重大变化时 2 业务内容出现重大变化时 3 信息安全管理体系出现重大变化时 4 采用标准 适用法律或验证方法出现重大变化时 5 出现重大客户投诉或信息安全事故时 6 其它需要增加内审的情形 信息安全管理体系审核对象为公司信息安全管理体系所涉及的部门和活动 审核范围可以 是对公司进行整体审核 也可以按部门或过程进行局部审核 正常情况下 管理体系所涉 及的所有部门和过程每年至少应覆盖一次 其中各部门或各过程的审核频次还应取决于其 现状和重要程度 并考虑以往审核的结果 计划外的追加审核由管理者代表根据实际情况 确定 5 2 25 2 2内部审核组织内部审核组织 1 由管理者代表负责组织内审小组 并填写 内审组长成员任命书 2 内部审核员通常要求由接受过信息安全管理体系内部审核培训并取得资格证书的人员 组成 公司所有具备内部审核员资格的名单请参考附录 A 内审员登记表 审核 员应与被审核的活动无直接责任 审核员不应审核自己的工作 以保证审核的独立性 内部审核员应在公司内各部门挑选并经公司任命 3 内审组长应由管理者代表从内审员中指定 管理者代表也可以自己担任审核组长 5 2 35 2 3内部审核计划内部审核计划 1 内审组长负责组织制定和提出 内部审核计划 2 内部审核计划 应包含审核目的 审核范围 审核时间和进度安排 审核成员 审 核的注意事宜等 审核时间的安排需要和被审核部门事先协调 3 内部审核计划 由管理者代表审批后实施 管理者代表自己担任内审组长的情况下 6 8 需要组织内审小组其他成员对计划进行审核 5 35 3内部审核准备内部审核准备 1 各审核员应准备好并熟悉本次审核所依据的文件 如标准 信息安全管理手册 有关 程序文件 合同 法律法规 客户及相关方要求等 2 内审小组成员根据分工 编制 内审检查表 并报内审组长批准 5 45 4内部审核实施内部审核实施 内部审核实施可划分为首次会议 现场审核和末次会议三个阶段进行 5 4 15 4 1首次会议首次会议 由内审组长召开首次会议 参加的人员由内审员及被审核部门负责人组成 在会议上 内 审组长将介绍 1 内审小组成员 审核目的 范围 2 审核方法 依据和程序 3 提出审核要求 确认审核日程安排等 4 公布末次会议日期 时间 会议内容及参加人员 5 审核计划中需说明的其他细节问题 5 4 25 4 2现场审核现场审核 1 现场审核时 内审员根据 内审检查表 逐项进行审核 通过观察 提问 查阅文件 和记录 抽样 问题追踪等方法 以验证审核情况与体系的符合性 2 内审员应如实记录审核的情况 对发现的不合格项应详细记录并由被审核部门负责人 或直接责任人确认 以保证不合格项已经得到被审核部门的理解 便于纠正和预防 3 现场审核结束后 内审组长召开内部内审小组成员会议 听取内审员的审核情况汇报 复核发现的不符合项 编写 不符合项报告及纠正报告单 4 内审组长应与受审核部门领导进行沟通 提出 不符合项报告及纠正报告单 请被审 核部门签字确认 并责成相关部门按要求制定纠正及预防措施 并填写在 不符合项 报告及纠正报告单 上 5 4 35 4 3末次会议末次会议 1 末次会议由内审组长主持 由内审小组成员 受审核方负责人 不符合项相关人员参 加 7 8 2 由内审小组通报审核结果 内容可包括 报告审核情况 通报不符合项及其严重程度 提出制订纠正措施 改进对策的限期 本次审核结论 会议也可以以审核组与受审核 部门进行沟通的形式进行 5 55 5公司内审报告公司内审报告 1 审核报告的编写 信息安全管理审核后由内审组长起草编写审核报告 审核报告内容 需包括 审核目的 审核范围 审核依据和审核时间 内部审核组成员及其分工 被审核的部门 内部审核情况综述 不符合项的综合分析 不符合项目分布情况 对被审部门的评价 审核结论等 存在问题的分析及管理体系改进措施的建议 2 审核报告的发布 公司内审报告 经管理者代表批准后 打印或以电子文档的方 式分发给被审核部门 3 公司内审报告 由内审小组负责整理归档 5 65 6纠正不符合项纠正不符合项 不符合项报告及纠正报告单 由内审小组统计后分发到各责任部门 由责任部门分析不 合格原因 制定纠正措施 经内审组长确认后 由责任部门组织实施 5 75 7跟踪和验证跟踪和验证 1 审核小组在限定时间内对纠正措施的实施情况进行复审 以确认不符合项的纠正情况 并验证其有效性 2 责任部门已完成纠正措施后 通知内审员验证其完成情况和有效性 并由内审员在 不符合项报告及纠正报告单 上签名认可 3 不符合项复审仍不符合的项目 其部门负责人应说明原因并考虑是否需要重新制定纠 正预防措施 4 如在规定的日期 一般不超过一个月 内不能完成的 内审员应检查不能完成的原因 无正当理由的应报管理者代表批准后 重新开出 不符合项报告及纠正报告单 并且 必须在一个月内关闭 5 内部审核实施和验证情况由内审组长向管理者代表报告 5 85 8审核记录归档审核记录归档 本程序所涉及的所有记录 内部审核计划 内审检查表 公司内审报告等 由内审小组 8 8 按 记录控制程序 统一归档保存 6 6实施策略实施策略 1 管理者代表负责成立内审小组 并任命内审组长 发布 内审组长成员任命书 2 内审组长负责组织编写并审核批准 内部审核计划 3 各内审员根据分工编写 内审检查表 4 由内审组长召开首次会议 并填写首次会议的 会议签到记录表 5 各内审员根据计划进行内审 发现不符合项 填写 不符合项报告及纠正报告 单 跟踪不符合项的解决